Уязвимость предсказуемости случайных чисел в Ruby, вызванная отсутствием сброса начального значения генератора случайных чисел после создания дочернего процесса
Описание
Обнаружена уязвимость в Ruby, связанная с тем, что начальное значение генератора случайных чисел не сбрасывается при создании дочернего процесса (fork). Это облегчает злоумышленникам, зависящим от контекста (context-dependent), возможность предсказать значения случайных чисел, используя знание последовательности чисел, полученной в другом дочернем процессе. Данная проблема связана с CVE-2003-0900.
Примечание: данная уязвимость возникла из-за регрессии во время разработки Ruby 1.8.6.
Затронутые версии ПО
- Ruby до версии 1.8.7-p352
Тип уязвимости
Предсказуемость случайных чисел
Идентификаторы
- Связанная проблема: CVE-2003-0900
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 4 | ruby | Affected | ||
| Red Hat Enterprise Linux 5 | ruby | Affected | ||
| Red Hat Enterprise Linux 6 | ruby | Affected |
Показывать по
Дополнительная информация
Статус:
2.1 Low
CVSS2
Связанные уязвимости
Ruby before 1.8.7-p352 does not reset the random seed upon forking, which makes it easier for context-dependent attackers to predict the values of random numbers by leveraging knowledge of the number sequence obtained in a different child process, a related issue to CVE-2003-0900. NOTE: this issue exists because of a regression during Ruby 1.8.6 development.
Ruby before 1.8.7-p352 does not reset the random seed upon forking, which makes it easier for context-dependent attackers to predict the values of random numbers by leveraging knowledge of the number sequence obtained in a different child process, a related issue to CVE-2003-0900. NOTE: this issue exists because of a regression during Ruby 1.8.6 development.
Ruby before 1.8.7-p352 does not reset the random seed upon forking, wh ...
Ruby before 1.8.7-p352 does not reset the random seed upon forking, which makes it easier for context-dependent attackers to predict the values of random numbers by leveraging knowledge of the number sequence obtained in a different child process, a related issue to CVE-2003-0900. NOTE: this issue exists because of a regression during Ruby 1.8.6 development.
2.1 Low
CVSS2